授予资源链接权限 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予资源链接权限

按照以下步骤授予 AWS Lake Formation 一个或多个资源链接的权限到您的 AWS 帐户。

创建资源链接后,只有您才能查看和访问它。(假设 仅对此数据库中的新表使用IAM访问控制 没有为数据库启用。)要允许帐户中的其他委托人访问资源链接,请授予 DESCRIBEDROP 权限。

重要

授予资源链接的权限不会授予目标(链接)数据库或表的权限。您必须单独授予目标的权限。

您可以使用 Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

授予资源链接权限(控制台)

  1. 打开 AWS Lake Formation 控制台位于 https://console.amazonaws.cn/lakeformation/,并作为数据湖管理员、资源链接创建者或已被授予资源链接上授权选项权限的用户登录。

  2. 在导航窗格中,选择 数据权限.

  3. 选择 授予.

  4. 授予权限 对话框,确保 我的帐户 平铺被选中。然后提供以下信息:

    • 对于 IAM用户和角色,请选择一个或多个主体。

    • 对于 SAML和亚马逊 QuickSight 用户和组,输入一个或多个Amazon资源名称(ARN) users or groups federated through SAML 或 ARNs 为 Amazon QuickSight 用户或组。

      一次输入一个ARN,然后按 输入 之后。有关如何构建 ARNs,请参阅 Lake Formation 授予和撤销 AWS CLI 命令.

    • 对于 数据库,请选择包含资源链接的数据库。

      表列表会填充。

    • 对于 ,请选择一个或多个资源链接。

    • 对于 资源链接权限,选择要授予的权限。

    • (可选)适用于 授予权限,选择您希望主体能够授予他人的权限。

    
                在授予权限对话框中,选择单选按钮“我的帐户”。指定了主体、数据库和资源链接,并授予了DESCRIBE权限。
  5. 选择 授予.

授予资源链接权限(AWS CLI)

  • 运行 grant-permissions 命令,将资源链接指定为资源。

    此示例授予 DESCRIBE 到用户 datalake_user1 在表资源链接上 incidents-link 在数据库中 issues 在AWS帐户中 1111-2222-3333.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'